怎么样查找ARP攻击源?

chyhc · 发表于 2005-5-31 06:16:08

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有账号？注册

×

如题~~~!!!!谢谢啦~!

DreamCat · 发表于 2005-5-31 14:49:34

换交换机。

cloudbaby · 发表于 2005-5-31 20:58:26

我发几篇关于返回追踪的资料你用万方浏览器就可以打开！

cloudbaby · 发表于 2005-5-31 20:59:59

第二篇！

cloudbaby · 发表于 2005-5-31 21:01:22

第三篇

saka · 发表于 2005-7-2 07:40:13

关掉路由器把一台NT内核的电脑IP改成网关IP，在控制台模式下输入arp -a

可以看到很多IP地址的MAC地址是相同的，然后用ARP -D删除所有ARP信息

再输入arp -a查看（一次没有刷出来信息可以多输入几遍），PING最先出来的

两三个IP地址能PING通就是它了，然后用NBTSTAT -an ip 就可以查到那台机子

的网络名称，关掉那台机子就OK了

zzyzzyboy · 发表于 2005-7-14 11:35:55

关掉机器是不对的，看看用那台机器的小子在干什么，如果是在用木马偷帐号，关掉机器后还需要把那小子圈踢~然后送公安局网络稽查科

zy22 · 发表于 2005-7-14 13:36:20

你好`` 我非常想了解下这篇文章`` 不知道老大能否重新发一次``
我这里看不到啊？

孜孜不倦 · 发表于 2005-9-3 15:23:27

我顶

sunjun1979 · 发表于 2005-9-11 00:36:35

可用SNIFF比较好查点

cnrouter · 发表于 2005-10-9 16:50:10

1,2,3三个文件打不开呀.

jakyon · 发表于 2005-10-12 21:10:52

支持6楼的想法

雨夜单飞 · 发表于 2005-11-7 15:44:07

用ARP -A查出哪个IP的MAC与网关的MAC一样，保证此计算机正常工作，不要断线，同时得出服务器以外的另一个不相干IP，用第二台计算机ARP -A，看是否也有同样的一个IP，一般来说就是这台了，保证此台机算机正常工作。查出原因，是否是木马或是人为，停止ARP广播。

这是一种简单的ARP攻击查找方法，应该是没问题的。

不管怎么样，ARP攻击都会有一台攻击方电脑是在不停的发ARP广播，用NETSTAT或ARP -A然后ARP -D再ARP -A（可能要多次），一般是可以找到来原的，但如果是ARP欺骗那就麻烦了。只能抓包，分析。

网上有人这么说过，不知道是不是对的。

7up13 · 发表于 2006-2-11 04:00:41

原帖由 雨夜单飞 于 2005-11-7 15:44 发表
用ARP -A查出哪个IP的MAC与网关的MAC一样，保证此计算机正常工作，不要断线，同时得出服务器以外的另一个不相干IP，用第二台计算机ARP -A，看是否也有同样的一个IP，一般来说就是这台了，保证此台机算机正常工作。 ...

如果用＂网络剪刀手＂的话，系可以虚拟网卡的，连ＭＡＣ地址都是伪造的，哪！你如果知道攻击的来源呢？

scnz8088 · 发表于 2006-4-23 21:33:41

最好提前备份整个ARP地址表单，出现问题时，通过对比ARP，很方便就查出重复的是哪台机器搞鬼了~！！

账号		自动登录	找回密码
密码			注册